3.1 升级系统 升级系统，确保软件包更新到最新，减少安全风险。下面的命令升级除内核相关之外的包，其中包含bug修复相关的包。 plaintext dnf y x 'kernel' update bugfix 3.2 配置ssh服务器 下面是对ssh服务器的一些配置。 plaintext sed e "s/^ ?PubkeyAuthentication./PubkeyAuthentication yes/g" e "s/^ ?PasswordAuthentication./PasswordAuthentication yes/g" e "s/^ ?PermitRootLogin./PermitRootLogin yes/g" e "s/^ ?UseDNS./UseDNS no/g" e "s/^ ?GSSAPIAuthentication./GSSAPIAuthentication no/g" i.bak /etc/ssh/sshdconfig 说明： PubkeyAuthentication yes：允许公钥认证访问。使用公钥认证访问通常更为安全。 PasswordAuthentication yes：允许使用密码认证访问。密码认证访问不如公钥认证访问安全。但默认镜像中没有公钥（在镜像中捆绑固定的公钥可能有安全隐患），需要使用密码认证访问。您可以在装机登录后配置好ssh公钥，然后禁用密码认证访问。 PermitRootLogin yes：允许root用户登录。允许root用户登录可能不够安全。但默认镜像中不创建其他普通用户。在镜像中创建普通用户并为其捆绑固定的密码可能有安全隐患。物理机装机时只会为root用户设置密码。您可以在装机登录后创建其他用户，然后禁用root用户登录。 UseDNS no：禁用反向DNS解析。未连通公网的机器上DNS不可用，会导致ssh连接缓慢或失败。 GSSAPIAuthentication no：禁用GSSAPI认证访问。GSSAPI认证需要自行配置才能使用。开启可能会导致ssh连接缓慢或失败。 注意 请不要在镜像中留ssh公钥或新建非root用户，可能有安全隐患。若相应的ssh私钥或用户密码泄露，继续使用该镜像会扩大受影响范围。

准备工作 购买智算安全专区大模型安全卫士实例 准备好被代理的大模型服务 准备好基础大模型 操作流程 编号 操作 相关文档 1 （可选）根据用户需求检查并配置分类和规则 新增规则 分类管理 2 （建议）配置用于模型推理引擎的基础模型 基础模型设置 3 配置或新建策略，按需选择违规分类、检测引擎、及其他检测配置 内容安全策略管理 检测引擎配置说明 4 按需配置模型代理 网关代理

本节介绍如何配置要扫描的基线。 1. 登录容器安全卫士产品控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在该页面单击右上角的“设置”按钮，进入设置页面。 4. 在设置页面，可见系统默认支持Docker CIS基线、Kubernetes CIS基线（1.3版本和1.6版本）、OpenShift基线、Ubuntu CIS基线、Centos CIS基线这五种合规检查项，选择并开启要进行扫描检测的合规项，单击“保存”按钮即可添加成功。

本文介绍了RDSPostgreSQL支持的实例连接方式。 RDSPostgreSQL服务提供使用内网、公网、天翼云DMS的连接方式。 RDSPostgreSQL连接方式： 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与RDSPostgreSQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云服务器与关系型数据库实例。 安全性高，可实现RDSPostgreSQL的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDSPostgreSQL实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云服务器（或公网主机）与RDSPostgreSQL实例。 直接使用公网访问，灵活性好。但安全性不如内网连接。 推荐使用内网连接。 DMS连接 开箱即用，无需安装本地客户端，通过浏览器即可操作数据库，数据管理服务DMS提供的可视化管理功能，使得数据库管理变得更加简单和高效，降低用户的学习成本和操作难度。 操作便捷，无需其他服务器或软件即可随时随地连接实例。 说明： VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 若弹性云服务器和RDSPostgreSQL实例处于同一个虚拟私有云的子网内，则无需申请外网地址。

本文主要介绍了发票信息的常见问题。 天翼云科技有限公司的开票信息？ 纳税人名称：天翼云科技有限公司 统一社会信用代码（纳税人识别号）：91110101MA04CBKC17 地址及电话：北京市东城区青龙胡同甲1号、3号2幢2层20532室 01058507865 开户银行及账号：交通银行股份有限公司北京市分行营业部 110060149013001879960 代理商、签约方、收款方、和开票方，是不是都是天翼云科技有限公司？ 均为天翼云科技有限公司。 发票类型有哪些？ 增值税普通发票、增值税专用发票。 发票的税率是多少？ 发票的税率均为6%。 发票没收款人和复核人如何填写？ 电子发票为统一模板，收款人和复核人不是强制项。

本文介绍什么情况下弹性云主机会进入保留期,保留期时长有多久。 如果您购买的弹性云主机进入保留期，可能存在以下几种原因： 包周期资源退订：进入退订保留期，会为您保留15天。 包周期资源到期：进入冻结保留期，会为您保留15天。 账号欠费，按量资源冻结：进入冻结保留期，会为您保留15天。 注意 按需资源删除后直接释放，无保留期。 试用开通的GPU云主机包周期资源到期后，进入冻结保留期，会为您保留2天。 保留期内不收费，业务不可用。保留期满资源将被释放，存储在资源中的数据将被删除，数据无法找回。

概要 因产品发展需要，数据库管理服务DMS将于2025年6月27日起，将数据库审计（SQL审计）功能中的日志保存时间修改为默认1天，最长可选配3天。 影响 数据库管理服务DMS将于2025年6月27日起，将数据库审计（SQL审计）功能中的日志保存时间修改为默认1天，最长可选配3天。 对于已开启DMS数据库审计（SQL审计）的数据库实例，本次策略调整不会影响到您的当前设定。 若您需要在DMS数据库审计（SQL审计）中，设定更长的保存时长，请联系客户经理评估。 感谢您对数据管理服务DMS本次策略调整的理解和支持。

您可以在天翼云费用中心查询VPN网关产品的账单。 操作步骤 1.登录天翼云费用中心。 2.在导航栏中，选择账单管理>账单详情。 3.在账单详情页面，将“统计维度”选择为“产品”，“计费模式”选择为“包周期”，可以支持以按账期或按天的统计方式查看VPN网关产品的消费情况。 4.在账单管理>账单概览页面，支持按产品类型、企业项目或计费模式对产品账单进行汇总展示。

接口功能介绍 删除安全组v3 接口约束 无 URI POST /v3/securityGroup/delete 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 securityGroupOid 是 String 安全组ID 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj String 返回数据结构体。安全组id。 sgxxxxxxxxxxx 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "securityGroupOid":"sg41f5rni5zu4oufa85xwob" } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":"sg41f5rni5zu4oufa85xwob" } 状态码 请参考 状态码 错误码 请参考 错误码

cat CentOSOpenStackrocky.repo [centotackrocky] nameopenstackrocky baseurl enabled1 gpgcheck0 [qumekvm] nameqemukvm baseurl enabled1 gpgcheck0 7. 执行以下命令，安装packstack。 plaintext 安装leatherman yum y install leatherman 安装packstack yum y install openstackutils openstackpackstack 8. 执行以下命令，生成应答文件并编辑配置文件。 plaintext packstack genanswerfile/root/openstack.ini vim openstack.ini 除修改以下所列项外，其他项不保持变（密码字段，可根据需要自行修改，这里全部配置为了 123456） CONFIGDEFAULTPASSWORD123456 CONFIGAODHINSTALLn CONFIGMARIADBUSERroot CONFIGMARIADBPW123456 CONFIGKEYSTONEDBPW123456 CONFIGKEYSTONEADMINEMAILroot@localhost CONFIGKEYSTONEADMINUSERNAMEadmin CONFIGKEYSTONEADMINPW123456 CONFIGNEUTRONML2TYPEDRIVERSvxlan,flat CONFIGNEUTRONML2TENANTNETWORKTYPESvxlan CONFIGNEUTRONML2MECHANISMDRIVERSopenvswitch CONFIGNEUTRONL2AGENTopenvswitch CONFIGNEUTRONOVSBRIDGEMAPPINGSextnet:brex CONFIGNEUTRONOVSBRIDGEIFACESbrex:eth0 CONFIGNEUTRONOVSEXTERNALPHYSNETextnet CONFIGPROVISIONDEMOn 9. 执行以下命令，通过应答文件进行安装。 plaintext packstack answerfile/root/openstack.ini 10. 打开浏览器，输入 11. 执行以下命令，导入镜像。 plaintext openstack image create "centos" file centos.img diskformat qcow2 containerformat bare public 12. 执行以下命令，创建网络。 plaintext openstack create net vnet openstack network create providernetworktypeflat providerphysicalnetworkextnet external share extnet 13. 执行以下命令，创建子网。 plaintext openstack subnet create subnet1 network int subnetrange 172.16.1.0/24 gateway 172.16.1.1 openstack subnet create ex network extnet gateway 192.168.101.254 allocationpool start192.168.101.200,end192.168.101.205 subnetrange 192.168.101.0/24 14. 执行以下命令，创建路由。 plaintext openstack router create route openstack router add subnet route ex openstack router add subnet route subnet1 15. 执行以下命令，创建规格。 plaintext openstack flavor create vcpus 1 ram 512 disk 10 test1 16. 执行以下命令，创建密钥。 plaintext openstack keypair create cy 17. 执行以下命令，创建虚拟机。 plaintext openstack server create flavor test1 image centos nic netidcc9d7710d82e4109941256ae02a18d7d securitygroup default keyname cy test 18. 执行以下命令，连接虚拟机并上传qemuga、cloudinit以及virtio组件。 下载路径在“镜像服务”>“私有镜像”>“创建私有镜像”页面中连接下载。 根据说明文档安装后关闭虚拟机。 19. 执行以下命令，将云主机转为image。 plaintext openstack server image create 1b1d3411b75549809da6db01d8331600 name cytestimg 20. 执行以下命令，将image保存到本地（此时的镜像为raw格式）。 plaintext openstack server image create 1b1d3411b75549809da6db01d8331600 name cytestimg 21. 执行以下命令，将镜像转换为qcow2格式（防止镜像过大，上传到桶失败）。 plaintext qemuimg convert f raw o qcow2 cytestimg centos.qcow2 22. 将镜像上传到天翼云。 进入对象存储原生版，创建桶后，上传镜像到桶中（镜像较大建议通过oss api上传）。 23. 创建私有镜像。 通过“镜像服务”>“私有镜像”>“创建私有镜像”，选择镜像文件并填写对象的地址，然后转为私有镜像。 其中，地址可以在对象存储控制台中的“更多”>“复制URL”选项中复制获得。 24. 创建成功后，“弹性云主机”>“创建云主机”，镜像处选择私有镜像。创建完成后可进入云主机查看数据完整性。

虚拟私有云产品为您提供优质的服务体验,本文带您了解虚拟私有云的产品优势。 简单易用 您可以通过控制台、API 等方式，快速创建、管理虚拟私有云，创建完成后，系统会自动为其创建默认路由表。您可以根据自己的应用需求轻松创建和配置虚拟私有云网络拓扑结构，包括子网、安全组、路由表等。 安全可靠 虚拟私有云之间通过隧道技术实现逻辑隔离，不同虚拟私有云之间默认不能通信。另外，我们还为您提供为您提供安全组、网络ACL等不同层面的网络访问控制方式，采用多重防护策略，让您的网络环境更安全。 灵活配置 虚拟私有云为您提供了强大的网络管理能力，您可以自定义网段，按需划分子网，并通过灵活配置路由表和路由规则，定制化地部署您的云上业务。并且支持云专线、VPN等多种方式接入。 通过自定义私有网络，您可以按需划分子网来合理规划IP地址资源；通过配置路由表来管理私有网络的流量走向；通过配置安全访问控制策略来进行安全防护等。 互联互通 虚拟私有云提供丰富的接入方式，可以满足您在云上的通信需求： 访问其它虚拟私有云：默认情况下，两个虚拟私有云之间是不能通信访问的，通过对等连接使不同VPC之间的云主机或物理机互相访问。 访问Internet：默认情况下，虚拟私有云与公网是不能通信访问的，通过弹性IP、NAT网关、弹性负载均衡等多种方式连接公网。 访问本地数据中心：您可以使用VPN 连接、云专线来访问本地数据中心。 为企业提供多种连接选择，以满足云上多业务需求，助力轻松部署企业应用，同时减少企业IT运维成本。

本文介绍如何将客户端加入已经部署好的AD域。 前提条件 AD域控制器已安装AD域服务并已部署完成。 操作步骤 1. 登录非AD域控制器的云主机客户端，进入“控制面板>系统和安全>系统”，在“计算机名、域和工作组设置”处可以看到当前计算机不属于任何域。 2. 设置DNS，使得客户端能解析AD域的域名。 1）客户端DNS设置。 a.登录客户端，打开“控制面板>网络和共享中心”，在“查看网络活动”找到“连接”，点击已连接的网络，通常为“以太网”。 b.在“以太网状态”弹窗中点击“属性>Internet协议版本4（TCP/IPv4）>属性”。 c.将“自动获得DNS服务器地址”改为“使用下面的DNS服务器地址”，并设置“首选DNS服务器”，设置的IP为AD域控制器的IPv4内网地址，在天翼云官网>弹性云主机控制台列表页获取。备用DNS服务器设置为空即可。 2）AD域控制器DNS设置。 AD域控制器的Internet协议版本4（TCP/IPv4）属性保持为“自动获得DNS服务器地址”。 3）网络验证。 在客户端命令行提示符工具或power shell工具处执行ping AD域名验证网络连通性。本文中执行 ping sfs.com。 3. 设置Sysprep。在客户端 C:Windows/System32/Sysprep，双击Sysprep.exe ，在勾选“通用”选项。防止计算机SID相同而无法加入AD域。 4. 设置域信息。在“计算机名、域和工作组设置”右侧点击“更改设置>更改”，选择“域”，填入AD域的域名“sfs.com”，点击“确定”。 5. 加域。输入步骤二中在域控制器创建用户时设置的用户名和密码。加入成功后会显示“欢迎加入sfs.com域”的提示。 6. 重启计算机使配置生效。 7. 验证。重启后，重新进入“系统”界面，此时可以看到本计算机已经加入到域sfs.com中。

当您的网站接入Web应用防火墙（Web Application Firewall，简称WAF）并开启Web基础防护后，WAF会根据您设置的Web基础防护规则检测并拦截命中规则的请求。如果业务正常请求命中Web基础防护规则被WAF误拦截，可能导致正常请求访问网站显示异常，此时，您可以通过误报处理使WAF不再拦截该请求，提升Web基础防护效果。 前提条件 “防护事件”页面可以查看误拦截事件。 约束条件 同一个事件不能重复进行误报处理，即如果该事件已进行了误报处理，则不能再对该事件进行误报处理。 使用场景 业务正常请求被WAF拦截。例如，您在天翼云ECS服务器上部署了一个Web应用，将该Web应用对应的公网域名接入WAF并开启Web基础防护后，该域名的请求流量命中了Web基础防护规则被WAF误拦截，导致通过域名访问网站显示异常，但直接通过IP访问网站正常。 系统影响 拦截事件处理为误报后，“防护事件”页面中将不再出现该事件，您也不会收到该类事件的告警通知。 拦截事件处理为误报后，该误报事件对应的规则将添加到全局白名单（原误报屏蔽）规则列表中，您可以在“防护策略”界面的“全局白名单（原误报屏蔽）”页面查看、关闭、删除或修改该规则。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的区域选择框，选择区域或项目。 步骤 3 单击页面左上方的“服务列表”，选择“安全> Web应用防火墙 （独享版）”。 步骤 4 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 步骤 5 在防护事件列表中，根据防护网站、事件类型、源IP、URL等信息筛选误拦截事件。 步骤 6 在误拦截事件所在行的“操作”列中，单击“详情”，查看事件详细信息，确认为误拦截事件。 步骤 7 在误拦截事件所在行的“操作”列中，单击“更多 > 误报处理”。 步骤 8 在弹出的对话框中，点击“前去处理”，点击全局白名单（原误报屏蔽）的“自定义全局白名单规则”，跳转至全局白名单列表页，点击页面左上方“添加规则”，添加白名单处理规则。

安全管理 基于网络隔离、安全组规则以及一系列安全加固项，实现租户隔离和访问权限控制，保护系统和用户的隐私及数据安全。 支持SSL安全网络连接、用户权限管理、密码管理等功能，保证数据库在网络层、管理层、应用层和系统层的安全性。 监控与审计 监控集群 DWS 与云监控服务集成，使您能够对集群中的计算节点和数据库进行实时监控。详情请参见《数据仓库服务用户指南》中“监控集群”章节。 事件通知 DWS 与消息通知服务对接，使您能够查看触发的各类事件。详情请参见《数据仓库服务用户指南》中的“事件通知”。 告警管理 告警管理包含查看告警规则、告警规则配置与告警信息订阅功能。其中，告警规则可以提供过去一周的告警信息统计与告警信息明细，方便用户自行查看租户下的告警。该特性除了以默认值的形式提供一套DWS告警最佳实践外，还允许用户根据自己的业务特点，个性化修改告警阈值。详情请参见《数据仓库服务用户指南》中“告警管理”章节。 审计日志 DWS 与云审计服务集成，使您能够对所有的管理控制台操作及API调用进行审计。 DWS 数据库还会记录所有的SQL操作，包括连接尝试、查询和数据库的变动。详情请参见《数据仓库服务用户指南》中“设置数据库审计日志”章节。

帐户及密码过期检查 指标项名称 ：帐户及密码过期检查 指标项含义 ：该指标项检查MRS的两个操作系统用户omm和 ommdba 。对操作系统用户，同时检查帐户及密码的过期时间。如果帐户或密码有效期小于等于15天，则认为不健康。 恢复指导 ：如果帐户或密码有效期小于等于15天，建议及时联系运维人员处理。

本节介绍天翼云CCE集群之间跨资源池迁移。 在天翼云CCE One管理的注册集群间进行迁移，将应用程序从一个地理区域迁移到另一个地理区域，以满足数据合规性、延迟和可用性等需求。迁移流程图参考如下： 前提条件 已开通天翼云分布式容器云平台CCE One及其关联产品的访问权限。 成员集群跨资源池情况下，需要打通成员集群与联邦实例的控制面网络。可选公网、内网（云间高速）等方式： 公网：需要确保成员集群apiserver ELB有绑定公网EIP，以及联邦所在VPC有配置公网SNAT，具备主动访问公网的能力。 内网（云间高速）：所源、目的集群所在VPC不存在网络冲突，可完全内网打通时，可考虑云间高速内网方式；具体配置方式参考：跨区域VPC互通。 适用场景 数据合规性、延迟和可用性等需求场景。 操作指引 本场景迁移，主要包含四个步骤： 步骤一：集群评估与纳管 在这个阶段，您将根据源集群的现状来评估适合迁移的目标集群类型。 可以基于必要的开源工具自动或手工收集源集群的信息，包括Kubernetes版本、规模、工作负载、存储等数据，并根据收集到的数据考虑合适的目标集群信息； 为方便后续的数据备份与恢复，或者基于联邦的细粒度应用迁移，您需要将源集群注册到天翼云CCE One注册集群；

本文介绍使用天翼云CDN加速后网站访问速度较慢的可能原因及解决方案。 背景说明 使用天翼云CDN加速后，正常情况下网站各个维度的性能指标均会得到明显提升，具体的性能指标以及相关参数信息，详情请见：性能指标。如果使用CDN加速后没有得到预期的性能提升，可参见本文提到的多个因素。 详细信息 使用CDN加速后网站访问速度较慢，是一个较为复杂的综合性问题，我们可以通过了解CDN加速原理（详情请见：天翼云CDN加速简介 里的加速原理模块），以及CDN加速涉及到的各个环节，初步判断可能是哪些方面的原因。CDN加速（CDN，Content Delivery Network）,即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。而一个完整的用户请求涉及的环节如下：DNS解析>TCP建联>SSL建联（如为https访问则涉及此环节）>客户端发送请求>服务端响应首包>服务端响应完整文件，这其中各个环节均可能影响到最终访问速度的快慢。 要系统性的衡量某个域名或网站经过天翼云CDN加速后的访问效果数据，建议使用第三方拨测工具，例如，基调听云、博睿数据平台，或通过在APP中自行开发客户端监测工具，搜集大数据进行分析。 注意 基调和博睿为外部第三方平台，需要付费使用。 结合上述拨测或监测工具的综合分析数据，可从如下维度逐个分析访问慢的原因： 首先，判断是否局部区域访问慢，还是全局性访问慢。通过基调或博睿的访问性能数据，可以看到各省份运营商的性能表现，如从运营商和省份角度均未看到明显性能差的部分，则可初步判断是全局性访问慢。

（二）十字符病毒 1. 故障现象 名称由随机10字符组成的进程，运行时占用大量CPU资源，伴有网络流量较大、占满带宽的现象，无法通过kill命令终止该进程。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，同时查看计划任务、启动脚本等，排查是否存在可疑文件，并根据文件内容确认恶意脚本程序。 3. 排查过程 查看进程列表，确认占用CPU资源的主要进程。 由于病毒通常具有自动运行机制，因此常常藏身于计划任务中。查系统计划任务中是否存在可疑脚本，并对脚本进行进一步分析核查，可确认系统被感染病毒，病毒本体是/lib/libudev.so。 4. 解决方法： 终止病毒进程（强制终止该进程后，病毒程序还会自动拉起一个新的进程运行。 删除恶意程序脚本。 杀掉病毒进程。 清理计划任务内容。 删除病毒本体。 检查开机自启动项等内容，彻底清理病毒痕迹。 三，系统加固操作建议 针对Linux云主机，建议您绑定Linux开放22端口安全组，移除默认安全组，单独开放需要的端口，使用复杂密码并定期更换，同时定期对您的云主机制作私有镜像，操作方法请参考下列文档： 安全组概述 实例加入/移出安全组 配置安全组规则 修改云主机默认远程端口 通过云主机创建Linux系统盘镜像

本文介绍云主机错误状态及解决方案。 一、引言 随着云计算技术的快速发展，云主机已经成为企业、个人和开发者们进行互联网应用的首选。然而，使用云主机的过程并非完全顺利，可能会遇到各种错误状态。本文将详细探讨云主机错误状态的类型、原因以及解决方案，帮助用户更好地管理和维护自己的云主机。 二、云主机错误状态类型 1. 网络错误。 网络错误是云主机使用过程中最常见的错误类型之一。网络错误可能包括网络连接超时、无法连接到远程云主机或网络连接中断等。这些错误通常是由于网络配置问题、网络设备故障或网络拥堵等原因引起的。 2. 云主机错误。 云主机错误通常包括云主机启动失败、运行异常、过载等。这类错误可能是由于云主机硬件故障、软件问题、操作系统故障或云主机资源不足等原因引起的。 3. 应用程序错误。 应用程序错误是指运行在云主机上的应用程序出现错误。这类错误可能包括应用程序崩溃、运行缓慢、内存泄漏等。这些错误可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。 4. 安全错误。 安全错误是指与安全相关的错误，如身份验证失败、权限问题或安全策略冲突等。这些错误可能是由于用户名或密码错误、权限配置错误或安全策略设置不当等原因引起的。 三、云主机错误状态原因分析 1. 网络问题。 网络问题可能是由于网络设备故障、网络连接问题或网络配置不当等原因引起的。例如，如果云主机的网络设备出现故障，或者网络连接被中断，那么就会出现网络错误。此外，如果网络配置不正确，例如DNS解析不正确，也可能会导致无法连接到远程云主机。 2. 云主机硬件故障。 云主机硬件故障可能是由于云主机硬件设备出现故障或云主机资源不足等原因引起的。例如，如果云主机的硬盘出现故障，那么云主机可能无法启动或运行异常。此外，如果云主机的资源不足，例如内存不足或CPU过载，也可能会导致云主机运行异常。 3. 应用程序问题。 应用程序问题可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。例如，如果应用程序的代码存在错误，那么应用程序可能无法正常运行。此外，如果应用程序的配置不正确，例如数据库连接不正确或文件路径错误，也可能会导致应用程序运行异常。 4. 安全问题。 安全问题可能是由于身份验证失败、权限问题或安全策略冲突等原因引起的。例如，如果用户名或密码不正确，那么身份验证可能会失败。此外，如果权限配置不正确，例如权限设置过于宽松或过于严格，也可能会导致权限问题。另外，如果安全策略设置不当，例如过于宽松的安全策略或过于严格的安全策略，也可能会导致安全问题。

本文介绍API安全模块中API标签管理功能。 功能介绍 用户可对API资产进行标签标记，以便对API资产按照不同的维度进行分组分类。API安全提供两种标签类型，一类是平台内置标签，一类是用户自定义标签。 平台内置标签包括：来源、敏感信息、业务用途、自发现标签。 来源：包括手动、自动。若API资产是通过用户手动添加，则会标记为手动；若API资产是通过自发现生成，则会标记为自动。标签名称及内容不可编辑、删除。 敏感信息：在API自发现过程中，若识别到API接口涉及敏感信息的传输，则会标记相应敏感信息，如地址、手机号等。用户可配置是否启用对于某项标签内容的识别。 业务用途：在API自发现过程中，若识别到API接口特征与某业务用途相匹配，则会标记相应业务用途，如登录认证、数据导出等。用户可配置是否启用对于某项标签内容的识别。 自发现标签：下发自发现任务时，可定义本次自发现标签，则本次任务中发现的API资产均会打上对应标签。标签名称不可编辑、删除。标签内容支持新增、编辑、删除。 自定义标签：用户自定义标签名称及标签内容。 说明 API标签的使用范围为所有域名下的API资产，即在域名A下新增的API标签，可在域名B的API资产中使用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。

违法信息 指涉及电信诈骗、胡乱发布新闻、淫秽色情、未经授权的仇恨性言论等违反法律法规、伦理道德和公序良俗的信息，会对个人和社会造成负面影响。 垃圾信息 指无用的、欺诈性的、骚扰性的或与特定上下文无关的信息。这些信息可能通过短信、电话、电子邮件、社交媒体等方式传播，给人们的生活带来不必要的麻烦和困扰。 国家敏感信息 指涉及国家机密、秘密，或对国家利益、公共利益有重大影响的信息，包括但不限于军事、国防、外交、经济等方面的信息。这些信息的泄露或未经授权的访问可能会对国家的安全和利益造成严重威胁。 稳定信息 指与社会和谐、国家政治稳定等相关的内容。稳定信息关乎社会的稳定和国家的政治安全，需要进行严格的审核和监管。 安全信息 指与网络安全、个人信息安全相关的内容，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露。 法律信息 指与法律相关的内容，包括各种法律法规、判例、法律解释、法律理论、法律实践等方面的信息。 社会事件 指在社会生活中发生的、对社会发展产生重大影响的、具有新闻价值和历史意义的重要事件。社会事件可能涉及政治、经济、文化、科技、体育等多个领域，并具有广泛的关注度和影响，如灾害、事故、社会安全等。

本小节介绍态势感知应用场景，态势感知主要用于边界安全应用场景。 重点行业信息系统 能源、金融、交通、教育、医疗、市政、电信与互联网、政府部门等支撑关键业务的信息系统。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。 电子政务和门户 各级党政军门户网站，教育类网站，重大活动及会议保障， 重点新闻网站等。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。 大型互联网平台 注册用户、订单额或交易额较大，一旦发生网络安全事故，产生较严重影响，如敏感信息泄露、基础数据泄露等。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击信息泄露安全事件，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。

云防火墙的应用场景及限制。 约束限制 CFW ALG标签功能受限。 CFW默认不开启网络层流量类型DDoS攻击与IP欺骗防御功能。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议优先使用自定义域名服务器。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护、扩容引擎）需要客户端重新发起连接。 外部入侵防御 通过云防火墙，对已开放公网访问的服务资产进行安全盘点，可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制，可对主动外联行为进行精准管控。 VPC间互访控制 云防火墙支持VPC间流量的访问控制，实现内部业务互访活动的可视化与安全防护。 等保合规 云防火墙可满足《网络安全等级保护2.0》中对区域边界防护、网络入侵防范、网络访问控制、安全日志审计等检查要求。

本文为您介绍如何使用ECI实例扩容云硬盘数据卷。 背景信息 天翼云硬盘是一种可弹性扩展的块存储设备，可以为ECI提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 前期准备 1. 已开通天翼云弹性容器实例服务。 2. 仅状态为运行中（Running）的 ECI 实例支持数据卷扩容。 3. 仅支持云硬盘类型的数据卷扩容。 4. ext 文件系统的云硬盘数据卷多次扩容时需要重启容器 (不建议多次扩容)。 操作步骤 天翼云弹性容器实例ECI支持用户通过OpenAPI对ECI实例的云硬盘数据卷进行扩容。

本文为您介绍如何使用ECI实例扩容云硬盘数据卷。 背景信息 天翼云硬盘是一种可弹性扩展的块存储设备，可以为ECI提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 前期准备 1. 已开通天翼云弹性容器实例服务。 2. 仅状态为运行中（Running）的 ECI 实例支持数据卷扩容。 3. 仅支持云硬盘类型的数据卷扩容。 4. ext 文件系统的云硬盘数据卷多次扩容时需要重启容器 (不建议多次扩容)。 操作步骤 天翼云弹性容器实例ECI支持用户通过OpenAPI对ECI实例的云硬盘数据卷进行扩容。

本文为您介绍如何使用ECI实例扩容云硬盘数据卷。 背景信息 天翼云硬盘是一种可弹性扩展的块存储设备，可以为ECI提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 前期准备 1. 已开通天翼云弹性容器实例服务。 2. 仅状态为运行中（Running）的 ECI 实例支持数据卷扩容。 3. 仅支持云硬盘类型的数据卷扩容。 4. ext 文件系统的云硬盘数据卷多次扩容时需要重启容器 (不建议多次扩容) 操作步骤 天翼云弹性容器实例ECI支持用户通过OpenAPI对ECI实例的云硬盘数据卷进行扩容。

透明代理的作用是在客户端与大模型防护系统之间建立一个隧道，在终端直接访问原请求大模型的请求，将转发到大模型防护系统上，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。适用于自建大模型，并用主机安全检测需求的用户场景，终端适用于Linux服务器。 内容安全代理 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 透明代理”，单击“添加代理”。 3. 在弹出的窗口中配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 协议适配器插件 在下拉框中选择协议适配器插件。 后端地址 根据实际情况填写被代理模型的地址。 策略名称 根据终端所需在选择策略，管理主机策略相关，更多关于策略的内容见主机策略。 强制启用API Key （可选）按需选择是否启用大模型防护系统启动的API认证机制。 API Key标签 当启用API Key时，还需配置API Key标签。API Key标签为模型认证配置中配置的标签。

本文介绍如何隔离容器。 支持将存在异常的Pod进行隔离，被隔离的Pod将不允许与其他资源进行通信。 注意事项 特权容器、节点启动容器、安全容器、pause应用类型容器暂不支持隔离。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表右侧操作列中的“隔离Pod”。 4. 在弹出的对话框中，输入说明信息。 5. 单击“确认”，隔离容器。

本节介绍如何对上传的文件进行IaC扫描。 前提条件 已上传需要检测的K8S manifests、dockerfile、Configmap文件。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > IaC检查”，进入IaC检查页面。 3. 选择检查的文件类型。 4. 单击检查列表操作列的“扫描”按钮或者列表右上角的“开始扫描”，可对已上传的文件进行检测。 5. 扫描后，到“任务中心 > 扫描任务队列 > IaC安全扫描队列”中查看扫描状态及生成扫描结果。

本文介绍如何对集群节点进行扫描。 扫描节点 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面。 3. 单击节点列表右上方的“开始扫描”，可选择扫描全部节点或者仅扫描列表中勾选的节点。 4. 单击“确定”，立即开始扫描，扫描状态变为“扫描中”。 重新扫描 扫描完成后，可以单击操作列的“重新扫描”，重新对节点进行扫描。

本小节介绍安全专区创建用户账号方法。 操作方法 1.点击【添加用户】，按照页面提示完整填写用户信息，添加新的账号。 2.打开用户注册信息窗口。 用户名：填写用户邮箱作为用户名（系统将发送邮件到该邮箱）； 手机号：填写用户手机号（登录接收验证码）； 角色分配 安全管理员：负责安全策略配置； 审计人员：可查看及管理日志； 运维人员：业务系统运维人员只能登录云堡垒机，对业务系统进行操作。

本节介绍如何创建并管理容器防篡改策略。 添加文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 单击“添加策略”，进入添加策略页面。 4. 在新建策略页面输入策略名称（必填）和描述信息（非必填），选择或输入目标对象（支持通配符），设置监控路径。 5. 单击“保存”按钮，系统提示保存成功，安全策略设置完毕。 管理文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 查找策略：搜索框支持按策略名称、启用状态查找目的策略。 4. 策略管理：在策略列表内，支持对已添加策略进行查看、编辑、删除、开启、关闭。